KR101095878B1 - 은닉마르코프모델을 이용한 에스아이피 프로토콜 서비스 거부 공격 탐지 및 차단 시스템 및 방법 - Google Patents
은닉마르코프모델을 이용한 에스아이피 프로토콜 서비스 거부 공격 탐지 및 차단 시스템 및 방법 Download PDFInfo
- Publication number
- KR101095878B1 KR101095878B1 KR1020090100463A KR20090100463A KR101095878B1 KR 101095878 B1 KR101095878 B1 KR 101095878B1 KR 1020090100463 A KR1020090100463 A KR 1020090100463A KR 20090100463 A KR20090100463 A KR 20090100463A KR 101095878 B1 KR101095878 B1 KR 101095878B1
- Authority
- KR
- South Korea
- Prior art keywords
- sip
- session
- blacklist
- module
- hidden markov
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
상기 장치들의 전반적인 동작을 제어하는 중앙제어부,
를 포함하여 이루어진 것을 특징으로 하는 은닉마르코프모델을 이용한 SIP 프로토콜 서비스 거부 공격 탐지 및 차단 시스템이 제공된다.
즉, 상기 중앙제어부(110)는 SIP 파싱모듈(112), 블랙리스트 체크모듈(114), 전처리모듈(122), SIP 노멀 모델링부(124), 공격탐지 및 판정모듈(116), 사용자 정보저장부(121) 및 세션 및 블랙리스트 테이블(129)의 동작을 전반적으로 제어한다.
Claims (3)
- 유무선통신망을 통해 연결된 하나 이상의 클라이언트 및 프락시서버를 포함하는 은닉마르코프모델을 이용한 SIP 프로토콜 서비스 거부 공격 탐지 및 차단 시스템에 있어서,입력되는 SIP 통신패킷을 파싱하되, SIP 파싱 과정에서 공격으로 판정되면, 공격자에 대한 IP와 Mac 정보를 세션 및 블랙리스트 테이블 중 블랙리스트에 등록하는 SIP 파싱모듈(112),세션 및 블랙리스트 테이블(129)과 연계하여 세션 및 블랙리스트를 체크하는 블랙리스트 체크모듈(114),상기 SIP 파싱모듈(112)를 통해 파싱된 데이터를 HMM의 입력 시퀀스로 변환하기 위한 데이터 가공과정을 수행하는 전처리모듈(122),Baum-Welch 알고리즘(128)을 이용하여 SIP 프로토콜을 모델링하는 학습모듈로서의 SIP 노멀 모델링부(124),은닉마르코프 기반 SIP 정상 모델과 전처리 과정에서 생성된 시퀀스를 입력하여 각 정상 행위에서 현재 행위가 생성되었을 확률을 forward-backward procedure 알고리즘(126) 이용하여 구하고, 상기 SIP 노멀 모델링부(124)를 통해 각 모델별로 구해진 확률을 전달받아 비정상 행위인지 판정하고, 정상행위 모델링으로부터 구해진 임계값(threshold)과 비교하여 더 낮은 수치를 가질 경우 침입으로 판정하는 공격탐지 및 판정모듈(116),사용자의 IP나 MAC 정보, 이메일 정보등을 저장 및 관리하는 사용자 정보저장부(121),세션 및 블랙리스트를 저장 및 관리하는 세션 및 블랙리스트 테이블(129), 및상기 SIP 파싱모듈(112), 블랙리스트 체크모듈(114), 전처리모듈(122), SIP 노멀 모델링부(124), 공격탐지 및 판정모듈(116), 사용자 정보저장부(121) 및 세션 및 블랙리스트 테이블(129)의 동작을 전반적으로 제어하는 중앙제어부(110),를 포함하여 이루어진 것을 특징으로 하는 은닉마르코프모델을 이용한 에스아이피 프로토콜 서비스 거부 공격 탐지 및 차단 시스템.
- 제 1 항에 있어서, 상기 공격탐지 및 판정모듈은 정상행위 모델링으로부터 구해진 임계값(threshold)과 비교하여 더 낮은 수치를 가질 경우 침입으로 판정하여 차단하는 것을 특징으로 하는 은닉마르코프모델을 이용한 에스아이피 프로토콜 서비스 거부 공격 탐지 및 차단 시스템.
- 유무선통신망을 통해 연결된 하나 이상의 클라이언트 및 프락시서버를 포함하는 제 1 항을 통한 은닉마르코프모델을 이용한 SIP 프로토콜 서비스 거부 공격 탐지 및 차단 방법에 있어서,클라이언트(사용자)가 접속을 시도할 경우 SIP 파싱모듈이 SIP 메시지를 파싱하는 제1 단계,세션 및 블랙리스트를 이용하여 패킷 인증을 시도하는 제2 단계,인증된 SIP 패킷이 세션정보에 등록되어 있지 않다면, 현재 SIP 패킷에 대하여 세션을 등록하는 제3단계,전처리 모듈에서는 SIP 패킷을 HMM의 입력 시퀀스 형태로 변환하는 제4단계, 및SIP 공격 탐지 및 판정 모듈에서 변한된 SIP 패킷에 대한 차단여부를 결정하여 SIP 공격 메시지로 판단될 경우 패킷의 정보를 블랙리스트에 등록하고 차단하는 제5단계,를 포함하여 이루어진 것을 특징으로 하는 은닉마르코프모델을 이용한 에스아이피 프로토콜 서비스 거부 공격 탐지 및 차단 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090100463A KR101095878B1 (ko) | 2009-10-21 | 2009-10-21 | 은닉마르코프모델을 이용한 에스아이피 프로토콜 서비스 거부 공격 탐지 및 차단 시스템 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090100463A KR101095878B1 (ko) | 2009-10-21 | 2009-10-21 | 은닉마르코프모델을 이용한 에스아이피 프로토콜 서비스 거부 공격 탐지 및 차단 시스템 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110043373A KR20110043373A (ko) | 2011-04-27 |
KR101095878B1 true KR101095878B1 (ko) | 2011-12-21 |
Family
ID=44048657
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090100463A KR101095878B1 (ko) | 2009-10-21 | 2009-10-21 | 은닉마르코프모델을 이용한 에스아이피 프로토콜 서비스 거부 공격 탐지 및 차단 시스템 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101095878B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109257351A (zh) * | 2018-09-18 | 2019-01-22 | 中国人民解放军战略支援部队信息工程大学 | 基于马尔科夫的ims网络逻辑异常检测装置及方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790073B (zh) * | 2016-12-21 | 2020-06-05 | 北京启明星辰信息安全技术有限公司 | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100729151B1 (ko) | 2006-07-18 | 2007-06-19 | 고려대학교 산학협력단 | 마코프 프로세스 기반의 피해 산정 방법, 그 기록 매체 및그 장치 |
-
2009
- 2009-10-21 KR KR1020090100463A patent/KR101095878B1/ko active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100729151B1 (ko) | 2006-07-18 | 2007-06-19 | 고려대학교 산학협력단 | 마코프 프로세스 기반의 피해 산정 방법, 그 기록 매체 및그 장치 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109257351A (zh) * | 2018-09-18 | 2019-01-22 | 中国人民解放军战略支援部队信息工程大学 | 基于马尔科夫的ims网络逻辑异常检测装置及方法 |
Also Published As
Publication number | Publication date |
---|---|
KR20110043373A (ko) | 2011-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100822553B1 (ko) | 침입 검출 방법 | |
Sengar et al. | VoIP intrusion detection through interacting protocol state machines | |
Ehlert et al. | Survey of network security systems to counter SIP-based denial-of-service attacks | |
Keromytis | A comprehensive survey of voice over IP security research | |
Reynolds et al. | Secure IP Telephony using Multi-layered Protection. | |
JP4692776B2 (ja) | Sipベースのアプリケーションを保護する方法 | |
Gruber et al. | Voice calls for free: How the black market establishes free phone calls—Trapped and uncovered by a VoIP honeynet | |
Nassar et al. | VoIP honeypot architecture | |
Voznak et al. | Threats to voice over IP communications systems | |
Bouzida et al. | A framework for detecting anomalies in VoIP networks | |
KR101095878B1 (ko) | 은닉마르코프모델을 이용한 에스아이피 프로토콜 서비스 거부 공격 탐지 및 차단 시스템 및 방법 | |
Safoine et al. | Comparative study on DOS attacks Detection Techniques in SIP-based VOIP networks | |
Ding et al. | Intrusion detection system for signal based SIP attacks through timed HCPN | |
Ha et al. | Design and implementation of SIP-aware DDoS attack detection system | |
Phithakkitnukoon et al. | Voip security—attacks and solutions | |
Nassar et al. | Intrusion detection mechanisms for VoIP applications | |
Su et al. | An approach to resisting malformed and flooding attacks on SIP servers | |
Seo et al. | Detecting more SIP attacks on VoIP services by combining rule matching and state transition models | |
Ahmad et al. | VoIP security: A model proposed to mitigate DDoS attacks on SIP based VoIP network | |
Hosseinpour et al. | Modeling SIP normal traffic to detect and prevent SIP-VoIP flooding attacks using fuzzy logic | |
Vennila et al. | Performance analysis of VoIP spoofing attacks using classification algorithms | |
Kamas et al. | SPIT detection and prevention | |
Hosseinpour et al. | An anomaly based VoIP DoS attack detection and prevention method using fuzzy logic | |
KR101037575B1 (ko) | VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법 | |
Singh et al. | BLAZE: A Mobile Agent Paradigm for VoIP Intrusion Detection Systems. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
N231 | Notification of change of applicant | ||
E90F | Notification of reason for final refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140925 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20151215 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20161213 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20171212 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20181210 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20191212 Year of fee payment: 9 |